セキュリティ専門家グループ、IE用の非公式パッチを公開 - (page 2)

　Microsoftがサードパーティによるセキュリティフィックスの公開に見舞われたのは、2006年に入ってから今回が3回目である。1月には、WindowsでのWindows Meta Fileイメージのレンダリングに関する脆弱性を修復するパッチがサードパーティによって公開され、3月には、セキュリティ企業2社が、IEにおけるウェブページ中のタグの扱い方に関連したバグを修復した。

　ZERTはボランティアで参加する世界中のセキュリティ専門家からなる。Abrams氏によるとZERTのパッチは、Windows 2000、Windows XP、Windows Server 2003向けに用意され、大部分をLURHQのJoe Stewart氏、イスラエル人のリバースエンジニアリング専門家Gil Dabah氏、脆弱性研究家のMichael Hale Ligh氏という3人の専門家が担当しており、作成に要した時間は19時間であったという。

サードパーティパッチのリスク

　ZERTは、サードパーティパッチには警告の言葉がつきものだと指摘している。Abrams氏は「Microsoftが自社のパッチに行うのと同等の、詳細なテストはなされないため、サードパーティパッチにはリスクがある」と述べた。ZERTはパッチのソースコードを提供して、パッチが何を行うのかユーザーが検証できるようにしている。

　ZERTはウェブサイトで、パッチが無保証であることを強調している。サイトには「ZERTはパッチのテストを行うが、ZERTのパッチはメーカーサポートのある正式パッチではなく、ユーザーの環境に適するという一切の保証なしに、現状のままで提供される。自己責任でパッチを利用するか、メーカーサポートのあるパッチを待つこと」という記述がある。ZERTでは、Microsoftによるアップデートが公開されたら、パッチをサイトから削除する予定だと述べている。

　ZERTのパッチは、個人ユーザーや小規模企業向けとしてはうまく機能するかもしれないと、iDefenseのDunham氏は言う。同氏は「パッチの適用に際し、小規模企業の多くは機敏に対応するが、規模の大きな企業ではためらいも大きい。サードパーティパッチは、責任関係やコスト評価が複雑になり、適用が見送られることがある」と述べた。

　動作テストの問題に加えて、サードパーティパッチがセキュリティの脆弱性をもたらすこともあると、Dunham氏は指摘する。Microsoftはウェブサイトで、サードパーティパッチを必要としない回避策をいくつか紹介している。同氏は回避策の利用を勧めるとともに、10月10日の定期アップデートの前に、Microsoftが前倒しでパッチを公開することを期待していると付け加えた。